欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

持续使用KimJongRAT和PCRat发动攻击:BabyShark恶意软件分析

来源:本站整理 作者:佚名 时间:2019-05-09 TAG: 我要投稿

一、摘要
2019年2月,Unit42发布了一篇关于BabyShark恶意软件系列的文章,其中涉及到针对美国国家智库的相关鱼叉式网络钓鱼活动。自该文章发布以来,直到2019年3月和4月,攻击者已经将目标扩展到加密货币行业,表明这些攻击背后的攻击者也在尝试获取经济利益。
在跟踪该威胁组织的最新活动时,Unit42的研究人员收集了BabyShark恶意软件的服务器端和客户端文件,以及两个编码后的二级PE Payload文件,恶意软件在收到恶意运营者的命令之后会安装这些文件。通过分析这些文件,我们可以进一步从整体上了解BabyShark恶意软件的多阶段结构和功能,例如它如何尝试维护操作安全性和支持的远程管理命令。根据我们的研究,恶意软件作者似乎将编码后的二级Payload称为“Cowboy”,无论恶意软件是属于什么家族。
我们的研究表明,BabyShark恶意软件系列的最新恶意活动似乎是出于以下两个目的:
1、关于核安全和朝鲜半岛国家安全问题的间谍活动;
2、基于样本中使用的诱饵内容,重点关注加密货币行业的经济收益,如下图所示。Xcryptocrash是一种在线的加密货币赌博游戏。
与加密货币相关的BabyShark恶意文件诱饵:
我们推断,BabyShark恶意软件工具集在具有关联的恶意组织之间共享,或者是同一组织被分配了不同的任务。
在我们的分析中,我们发现BabyShark攻击使用KimJongRAT和PCRat作为编码的二级Payload,因此将其称为“Cowboys”。
二、可疑访问日志记录
BabyShark有一个多阶段的感染链,每个阶段之间都有检查,以确保只有目标主机才能进入到下一个阶段,最后才会向攻击者发回信号。
BabyShark恶意软件整体结构:

具体而言,这一过程是通过维护一个针对服务器进行可疑访问尝试的黑名单来实现的,在黑名单中记录了IP地址和计算机名称,这是一种可能使分析变得更难的技术。在黑名单中的IP地址和计算机名称,以Base64编码格式写在[BASE_URI]/blackip.txt中,如下图所示。
blacktip.txt中列入黑名单的IP地址和计算机名称:

当使用与黑名单匹配的数据进行新的访问尝试时,服务器将不会进入到下一阶段,并会通过下图所示的独立日志文件向恶意运营者者发出警报。
恶意运营者的可疑活动日志报告:

BabyShark的C2服务器还会记录对其基本URI的访问,并重定向到http://go.microsoft[.]com。这样做的目的,可能是避免由于托管Web服务器的潜在错误配置而看到其他文件。
if($ff=fopen(“resp_suspect”,”a”))
{
fwrite($ff, $date . ”  ” . $ip . ” suspected access ” . $useragent .”\r\n”);
     fclose($ff);
}
header(‘Location: http://go.microsoft[.]com/’);
exit;
三、远程命令
恶意运营者可以向受BabyShark感染的受害者系统发出基于VBS和PowerShell的命令。我们从C2找到的远程命令位于下表中,但是,BabyShark不仅限于这些命令,因为攻击者可以创建更多VBS或PowerShell命令文件。
1. 基于VBS的远程命令
(1) getfiles – 将BabyShark基本路径中的所有文件压缩为ZIP格式,然后上传到C2。
(2) exe_down – 下载二级Payload的文件,具体如下:
· Cowboy,一个自定义编码的PE Payload;
· 一个EXE格式的加载器,可以在内存中解码并加载Cowboy;
· 一个DLL类型的加载器,可以在内存中解码并加载Cowboy。
(3) redirect_vbs – 由于缺少密钥文件,所以该命令的用途尚不明确,可能会更改C2路径。
2. 基于PowerShell的远程管理命令
(1) keyhook – 使用PowerShell和C#实现的两种键盘记录器:
· 基于PowerShell的密钥记录器,可以在GitHub上公开找到,其记录内容被保存在%APPDATA%\Microsoft\ttmp.log中;
· 基于C#的密钥记录器,其记录内容被保存在%APPDATA%\Microsoft\ttmp.log中。
(2) dir list – 收集主机信息,并将结果保存在%APPDATA%\Microsoft\ttmp.log中,为完成主机信息收集工作,会使用如下命令:
· whoami
· hostname
· ipconfig
· net user
· arp -a
· dir “%appdata%\Microsoft”
· dir “%systemroot%\SysWOW64\WindowsPowerShell\”
· vol c: d: e: f: g: h: i: j: k: l: m: n: o: p: q: r: s: t: u: v: w: x: y: z:
· dir “%userprofile%\Downloads”
· dir “%userprofile%\Documents”
· dir “%userprofile%\AppData\Local\Google\Chrome\User Data\Default”
· tasklist
此外,还会通过检查注册表项值的方式,对UAC可访问性和Microsoft Office安全设置进行测试。
(3) power com – 将%APPDATA%\Microsoft\delemd.tmp0复制到%APPDATA%\Microsoft\XXYYZZ.tmp,并作为DLL加载。
(4) exe del – 清理与二级Payload执行相关的所有文件:
· %APPDATA%\Microsoft\desktop.r3u(编码后的Cowboy Payload);
· %APPDATA%\Microsoft\fstnur(用于检查是否为首次执行的文件);
· %APPDATA%\Microsoft\*.tmp。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载